Ohne Energie liegt unsere moderne Welt nach kurzer Zeit lahm. Der wohl folgenreichste Hackerangriff für ein Land wäre einer, der die Energieversorgung dauerhaft lahmlegt. Schlagkräftige Angreifer könnten dazu neuralgische Knotenpunkte mit wiederholten Angriffen penetrieren. Die Folgen wären verheerend: Ein zentrales Umspannwerk wieder in Gang zu bringen, kann unter Umständen Monate dauern. Zu Recht werden solche Attacken auch mit dem Einsatz von Kriegswaffen gleichgestellt. Auch die Energieversorger in Deutschland stellen für kriminelle Hacker ein lohnendes Ziel dar.

Dabei sind Angriffe auf Kritische (IT-) Infrastrukturen nicht neu: Im Jahr 2000 flossen fast 1 Million Liter Abwasser in die Parks und Gewässer des australischen Shire of Maroochy. Der Remote-Angriff war eine Racheaktion eines 49-Jährigen, der nach einer erfolglosen Bewerbung der Landkreisverwaltung schaden wollte. Im Jahr 2009 richtete Stuxnet an industriellen Anlagen in vielen Ländern beträchtlichen physischen Schaden an. Das eigentliche Ziel der Aktion: die Sabotage des iranischen Nuklearprogramms.

Ein Jahr später, 2013, staunte nicht nur die deutsche Öffentlichkeit nicht schlecht über das nonchalante Abhören der deutschen Regierung durch die NSA. Dieser erste belegbare elektronische Angriff durch eine fremde Regierung kam mit den Enthüllungen von Edward Snowden ans Licht. Darüber hinaus ist auch bis heute ungeklärt, wer im Mai 2015 bis zu 20.000 Geräte des Parlakom-Netzes von Bundestag, Wahlkreisbüros und Parteifraktionen mit Schnüffel-Software infiziert hat.

Energie-Hacker: Neue Gefahren durch Smart Grids

Mit dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz sollen solche Störfälle aus der Cyberwelt - insbesondere bei Kritischen Infrastrukturen - verhindert werden. Die Bundesregierung unterhält demnach das Amt für Sicherheit in der Informationstechnik (BSI) und die zentrale Meldestelle für Sicherheitsvorfälle in der Kritischen Infrastruktur. Für private Stromversorger ist das Energiewirtschaftsgesetz (EnWG) maßgebend. Der Gesetzgeber macht in § 11 Absatz 1a einen Sicherheitskatalog der Netzagentur rechtlich verbindlich. Vorgeschrieben werden die Maßnahmen aus den ISO-Normen 27002 und 27019. Um als Energieunternehmen diesen Bestimmungen zu unterliegen, müssen zunächst die Kriterien aus den KRITIS-Verordnungen erfüllt sein. Allerdings können auch Zulieferer von ihren gesetzlich gebundenen Kunden in die Pflicht genommen werden. Welche Verpflichtungen für die Lieferanten entstehen, ist in den Vorschriften nicht genau geregelt und in Expertenkreisen umstritten.

Der US-Sicherheitsberater und Buchautor Richard Clarke legt die Stoßrichtung des Cyberkriegs dar. Insider berichten demzufolge von den Befunden aus Sicherheitsüberprüfungen in amerikanischen Energieunternehmen. In praktisch allen durchgeführten Proben konnte in weniger als einer Stunde zu der elektronischen Steuerung der Anlagen vorgedrungen werden. Die Testangriffe erfolgten zunächst von der öffentlichen Webseite über das Intranet zum Zugriff auf die digitalen Schalthebel. Erfolgreich war oft auch der direkte Weg auf den Kontrollraum über VoIP-Telefone. In manchen Fällen konnten unverschlüsselte Funkwellen durch gefälschte Datensignale überlagert und so falsche Informationen einschleust werden. Zum gängigen Werkzeug der Hacker gehören demnach das Abhören von IP-Verbindungen, das Rückspielen von Passwörtern oder DoS-Attacken. Mit dem Smart Grid wird die Stromversorgung noch stärker mit dem Internet verzahnt, und bietet dadurch auch immer mehr bekannte Schwachstellen.

Fazit: Security-Richtlinien sollten kein Hemmnis sein

Neue Software für Energienetze wird zunehmend innerhalb von Rahmenwerken wie der ISO-Norm 27001 entwickelt. Der Bedarf bei Vertragspartnern und Regierungen nach solchen Nachweisen ist dafür ausschlaggebend. Im Betrieb liefert die Dokumentation des IT-Netzes und der Schnittstellen einen ersten Eindruck für Prüfer. Wurden bei der Implementierung Test- und Abnahmeprotokolle erstellt? Gibt es eine Entwicklerrichtlinie und sind digitale Zertifikate, kryptographische Werkzeuge und Passwörter entsprechenden Anweisungen unterworfen? Solche Fragen stehen am Anfang einer Prüfung.

Ohne regelmäßige Aktualisierung verlieren Richtlinien schnell an Wert. Verschlüsselungs-Algorithmen, die als unsicher bekannt sind, müssen beispielsweise aussortiert werden. In der Praxis wird als Minimum eine jährliche Revision vorgeschlagen. Richtlinien erzielen nur dann eine Wirkung, wenn sie nicht als Hemmnis, sondern als sicheres Geleit gesehen und genutzt werden. (fm)